Mit diesem Profil können Sie die Festplatten (Startvolume) der macOS-Geräte Ihrer Nutzer verschlüsseln. Die Volumenverschlüsselung FileVault 2 nutzt die XTS-AES-128-Verschlüsselung mit einem 256-Bit-Schlüssel, um den unautorisierten Zugriff auf die Daten auf der Festplatte zu verhindern.
Sollte ein Nutzer sein Anmeldepasswort für sein verschlüsseltes macOS-Gerät vergessen haben, wird für die Entschlüsselung, ein Wiederherstellungsschlüssel benötigt. Dieser Wiederherstellungsschlüssel kann von jedem Nutzer separat auf seinem Gerät erstellt werden.
Alternativ dazu können Sie einen Wiederherstellungsschlüssel für alle verwalteten macOS-Geräte generieren und diesen mit Hilfe der Konsole auf die Geräte der Nutzer verteilen. Gehen Sie dafür vor wie hier beschrieben: https://support.apple.com/de-de/HT202385
- Gehen Sie zuerst vor, wie hier beschrieben.
- Wählen Sie in FileVault 2 als Profil aus, das Sie hinzufügen möchten. Es wird folgender Dialog geöffnet:
Nehmen Sie folgende Einstellungen vor:
- Profile name: Geben Sie hier einen Namen für das Profil ein.
- Enable: Wenn Sie FileVault für Ihre Nutzer deaktivieren möchten, setzen Sie diese Option auf Off.
- Defer: Wählen Sie diese Option, um die Aktivierung von FileVault aufzuschieben, bis sich der angegebene Benutzer abgemeldet hat.
- Force max bypass attempts: Legen Sie hier die maximale Anzahl der Versuche fest, bei denen der Nutzer die Aktivierung von FileVault umgehen kann. Wenn der Wert auf 0 gesetzt ist, wird FileVault gleich aktiviert (empfohlene Standardeinstellung), obwohl es ihm erlaubt, die Aktivierung zu umgehen. Wenn Sie den Wert auf -1 setzen, wird diese Funktion deaktiviert.
- Bei Verwendung von personal recovery keys:
- Use recovery key: Aktivieren Sie diese Checkbox, um einen persönlichen FileVault-Wiederherstellungsschlüssel zu erzeugen und zu hinterlegen.
- Show recovery key: Legen Sie fest, ob dem Nutzer nach der Einrichtung von FileVault der persönliche FileVault-Wiederherstellungsschlüssel angezeigt werden soll, um ihm die Möglichkeit zu geben, diesen für eine spätere Verwendung zu speichern.
- Output path: Pfad zu dem Speicherort, an dem der Wiederherstellungsschlüssel und das Computerinformationsverzeichnis in einer Plist-Datei gespeichert werden.
- Bei Verwendung eines institutionellen Wiederherstellungsschlüssels:
- Certificate: Erstellen Sie zuerst ein Zertifikatprofil. Laden Sie dort den institutionellen Wiederherstellungsschlüssel (DER-verschlüsseltes Zertifikat) hoch. Wählen Sie dieses Zertifikatprofil anschließend hier aus.
- Use keychain: Wurden in diesem Profil keine Zertifikatsinformationen zur Verfügung gestellt, wird das unter /Library/Keychains/FileVaultMaster.keychain erstellte Schlüsselbund verwendet, wenn der institutionelle Wiederherstellungsschlüssel hinzugefügt wird.
- User enters missing info: Wenn Sie diese Checkbox aktivieren, werden bei der Installation des Profiles, fehlende Felder für den Benutzernamen oder das Kennwort abgefragt.
- Username: Geben Sie hier den Benutzername des Nutzers ein, wenn Sie das Profil einem einzelnen Nutzer zuweisen.
- Password: Geben Sie hier das Benutzerpasswort des Nutzers ein, wenn Sie das Profil einem einzelnen Nutzer zuweisen. Aktivieren Sie alternativ die Checkbox User enters missing info.
Jetzt können Sie das neu erstellte Profil an Nutzer/Gruppen/Geräte verteilen.
- Wählen Sie dazu das entsprechende Profil in der linken Spalte der Managementkonsole aus und klicken Sie auf Assign.
- Wählen Sie nun die Nutzer, Gruppentemplates oder Geräte aus, denen Sie dieses Profil zuweisen möchten.
Hinweis! Sie können Profile auch unter Control Panel→ Users bzw. Group Templates zuweisen.